セキュリティポリシー

セキュリティポリシーは、1つ以上のリソースに対する特権アクセス権が付与されるプリンシパルを制御します。以下のタイプのポリシーを作成できます。

  • デフォルト:サーバー、シークレット、SaaSアプリのサービスアカウント、およびActive Directoryアカウントに適用されます。

  • Oktaサービスアカウント:サービスアカウントとして管理されているOktaユーザーアカウントに適用されます。

セキュリティ管理者は、ポリシーの作成、ポリシーへのプリンシパルの割り当て、1つ以上のルールの追加を行います。ルールの作成時に、Okta Privileged Accessによって保護されるリソースへのアクセス時にユーザーが満たす必要がある特定の条件を作成できます。これらのルールは、一連のプリンシパルに必要なすべての特権アクセス権がカバーされるまで積み重ねる(または追加する)ことで各種リソースに合わせてカスタマイズできます。これにより、各種リソースに合わせて異なる制御を設定し、それらのリソースへのアクセスを、認可されたユーザーのみに許可することができます。

代理セキュリティ管理者として割り当てられているグループにセキュリティ管理を割り当てることができます。代理セキュリティ管理者は、自身がセキュリティ所有者であるリソースグループに適用されるポリシーを作成できます。代理セキュリティ管理者によって作成されたセキュリティポリシーは、ポリシーの作成時に選択したリソースグループのみに適用されます。「代理セキュリティ管理者を追加する」を参照してください。

開始する前の確認事項

  • Okta Privileged Accessにサインインしていることを確認します。

  • デフォルト(Default)ポリシータイプの場合、Okta Privileged Accessのセキュリティ管理者ロールが必要です。

  • Oktaサービスアカウントポリシーの場合、ユーザーにOkta Privileged Accessのセキュリティ管理者ロールとスーパー管理者ロールが必要です。

  • セキュリティポリシーの概念を参照してください。

  • 複数の認証および認可条件がユーザーアクセスにどのように影響するかを理解します。ルール条件を参照してください。

セキュリティポリシーを作成または更新する

ポリシーを作成するには、ポリシー名の追加、プリンシパルの割り当て、プリンシパルに適用されるルールの作成を行う必要があります。作成したポリシーは、公開する必要があります。ポリシーは、公開されるまで効力を持ちません。

デフォルトポリシーを作成する

サーバー、シークレット、SaaSアプリアカウント、またはActive Directoryアカウントのポリシーを作成するには、デフォルトのオプションを使用します。ワークロードロールの場合、ローカルのVaultに保管されたサーバーアカウントのみ。

  1. セキュリティ管理(Security Administration) > ポリシー(Policies)に移動します。

  2. ポリシーを作成(Create policy)をクリックしてから、デフォルト(Default)を選択します。
  3. ポリシー名と説明を入力します。

  4. 以下のいずれかのオプションを選択してポリシー管理を委任します。

    • すべてのリソースグループ(All resource groups)。これにより、ポリシールールにはリソースグループ全体にあるリソースを含めることができます。

    • 特定のリソースグループ(Specific resource groups)。これにより、ポリシールールには選択されたリソースグループ内のリソースのみを含めることができます。また、この設定により、代理セキュリティ管理者がこのポリシーを管理できるようになります。

      このオプションを選択する場合は、ドロップダウンメニューをクリックして、リソースグループを選択します。

  5. プリンシパルの追加(Add Principals)をクリックします。

    1. グループを選択(Select Groups) ドロップダウンをクリックし、グループを選択します。

    2. ワークロードロールを選択(Select Workload Roles) ドロップダウンをクリックし、ワークロードロールを選択します。

  6. 追加または変更する1つ以上のプリンシパルを選択し、保存(Save)をクリックします。

  7. ルールを追加(Add Rule)をクリックします。

  8. ルールを追加(Add rule)をクリックしてから、ルールの設定を構成します。手順はデフォルトポリシーのルールを追加するを参照してください。

  9. ポリシーを保存(Save policy)をクリックします。このポリシーを公開できるようになります。

Oktaサービスアカウントのポリシーを作成する

Oktaの特権アカウントにこのポリシーを使用します。

  1. セキュリティ管理(Security Administration) > ポリシー(Policies)に移動します。

  2. ポリシーを作成(Create policy)をクリックしてから、Oktaの権限付きアカウント(Okta privileged account)を選択します。
  3. ポリシー名と説明を入力します。

  4. 以下のいずれかのオプションを選択してポリシー管理を委任します。

    • すべてのリソースグループ(All resource groups)

    • 特定のリソースグループ(Specific resource groups)。このオプションを選択する場合は、ドロップダウンメニューをクリックして、リソースグループを選択します。

  5. プリンシパルの追加(Add Principals)または編集アイコン(鉛筆)をクリックして更新します。

  6. 追加または変更する1つ以上のグループを選択し、保存(Save)をクリックします。

  7. ルールを追加(Add rule)をクリックしてから、ルールの設定を構成します。手順は「Oktaサービスアカウントポリシーのルールを追加する」を参照してください。

  8. 保存(Save)をクリックします。このポリシーを公開できるようになります。

ポリシーを公開する

作成したポリシーは、公開する必要があります。

  1. セキュリティ管理(Security Administration) > ポリシー(Policies)に移動します。

  2. 公開するポリシーのアクション(Actions)をクリックします。
  3. 公開(Publish)をクリックしてポリシーに対するアクセス権を付与します。

ポリシーを複製する

セキュリティ管理者は、新しいポリシーをゼロから作成する代わりに既存のポリシーを複製できます。

  1. セキュリティ管理(Security Administration) > ポリシー(Policies)に移動します。

  2. 複製するポリシーのアクション(Actions)をクリックします。
  3. 複製(Clone)を選択します。
  4. ポリシーを保存(Save Policy)をクリックします。

関連項目

ポリシーにルールを追加する

アクセスリクエストを持つ Okta Privileged Access

Okta Privileged Access

sudoコマンドバンドル

Okta Privileged Accessユーザーガイド